Q Qualys. 


Oracle 認証 (VM) 


認証 スキ ャ ン に ご 関心 を お 寄せ いた だ き あ り が と う ご ざ いま す 。 認 証 を 設定 し て 使用 する と 、 ホ スト を さ 
ら に 詳し く 評価 し 、 最も 正確 な 結果 を 取得 し 、 誤 検出 を 減ら すこ と が で きま す 。 本 書 で は 、 脆弱 性 スキ ャ 
ン に お ける Oracle 認証 の 設定 に 関す る ヒン ト と ベス ト プ ラ クティ ス に つい て 説明 し ます 。 


考慮 事項 


認証 を 使用 する 必要 性 
脆弱 性 スキ ャ ン に お いて 、 認 証 は 必須 で は な く 推 奨 事項 で す 。 


資格 情報 の 安全 性 に つい て 

資格 情報 は 、 読 み 取 り (READ) 専用 と し て シス テム へ の アク セス に 使用 され ます 。 デバ イス 上 て で 資格 
情報 を 修正 し た り 、 何 か を 書き 込ん だ りす る と いう こと は 、 決し て あり ませ ん 。 資格 情報 は 安全 性 を 確保 
し た 状態 で 扱わ れ 、 ス キャ ン の 実行 中 に の み 使 用 され ます 。 


操作 手順 

最初 に 、Oracle 認証 アカ ウン ト と 対象 ホス ト に 対す る 権限 を 設定 し ます (下記 で 説明 ) 。 次 に 、Qualys 
を 使用 し て 次 の 手順 を 実行 し ます 。 1)Oracle 認証 レコ ー ド を 追加 し ます 。 2) Oracle 認証 を 有効 に し た 
オプ ショ ンプ ロフ ァイル を 使用 し て 脆弱 性 スキ ャ ン を 開始 し ます 。3) 認証 レポ ー ト を 実行 し て 、 ス キャ ン 
済み の 各 ホ スト の 認証 ステ ー タ ス (「Passed」 ま た は 「Failed」) を 表示 し ます 。 


Oracle の 設定 


Oracle デー タベース で Qualys スキ ャ ン を 正常 に 機能 させ る に は 、 ス キャ ン を 実行 する 前 に 、 次 の アカ 
ウン ト と 権限 が 存在 し て いる 必要 が あり ます 。 これ ら の スク リプ ト に は 、SYS や SYSTEM な どの スー 
パー ユー ザ ア カ ウ ント が 必要 で す 。 


指定 の スク リプ ト を 表示 され た 順序 で 実行 し て くだ さい 。 


1) ス キャ ン ア カウ ント の プロ ファ イル の 作成 
この スク リプ ト に より 、 ス キャ ン に 使用 され る ユー ザ ア カ ウ ント の プロ ファ イル が 作成 され ます 。 


CREATE PROFILE "QUALYS_PROFILE" LIMIT 
FAILED_LOGIN_ATTEMPTS 3 
PASSWORD_GRACE_TIME 10 
PASSWORD_REUSE_TIME UNLIMITED 
PASSWORD_LIFE_TIME 90 PASSWORD_REUSE_MAX 1; 


無断 複写 ・ 転 載 を 禁じ ます 。 2008-2017 年 クキ リス ジャ パン 株 式 会 社 


2)USERS テー ブル スペ ー ス の ユー ザ ア カ ウ ント の 作成 


この スク リプ ト に より 、USERS テー ブル スペ ー ス に 、QUALYS_SCAN と いう 名 前 の ユー ザ ア カ ウ ント 
が 作成 され ます 。 スク リプ ト を 実行 する 前 に 、 パ スワ ー ド を 指定 し て くだ さい 。 


CREATE USER "QUALYS_SCAN" PROFILE "QUALYS_PROFILE" 
IDENTIFIED BY "[ こ こ に パス ワー ド を 入力 ]" DEFAULT TABLESPACE "USERS" ACCOUNT UNLOCK: 


3) ス キャ ン ア カウ ント の ロー ル の 作成 
この スク リプ ト に より 、 ユー ザ ア カ ウ ント に QUALYS_ROLE と いう 名 前 の ロー ル が 作成 され ます 。 


CREATE ROLE "QUALYS_ ROLE"; 


4) ス キャ ン ア カウ ント へ の ロー ル の 付与 


この スク リプ ト に より 、QUALYS_SCAN と いう ユー ザ ア カ ウ ント に 、QUALYS_ROLE と いう ロー ル が 
付与 され ます 。 


GRANT "QUALYS_ ROLE" TO "QUALYS_ SCAN"; 


5) ス キャ ン ア カウ ント へ の 権限 の 付与 


この スク リプ ト に より 、 ス キャ ン に 使用 3 され る ユー ザ ア カ ウ ント に 権限 が 付与 され ます 。 認証 が 正常 に 
実行 され 、 信頼 で きる 脆弱 性 スキ ャ ン が 実行 され る た め に は 、 次 の 権限 が 必要 で す 。 


権限 が 不 十分 な 場合 の 認証 スキ ャ ン で は 、 ホ スト か ら 十 分 な 情報 が 収集 され な いた め 、 脆弱 性 に 関し 
て 返さ れる 結果 は 最大 限 に 完全 で 包括 的 な も の で は あり ませ ん 。 資格 情報 で 対象 ホス ト へ の ログ イン 
が 許可 され な い 場 合 は 、 認 証 済 み で な い ス キャ ン が 実行 され ます 。 


注記 - すべ て の デー タベース アカ ウン ト に OS 認証 ロー ル を 使用 し て いる 場合 、 以下 の 権限 を 
QUALYS_SCAN アカ ウン ト に 直接 付与 する 必要 が あり ます 。 


GRANT CREATE SESSION TO QUALYS_ROLE: 
GRANT SELECT ON GV_$PARAMETER TO QUALYS_ROLE: 

GRANT SELECT ON DBA_PROFILES TO QUALYS_ROLE: 

GRANT SELECT ON DBA_USERS TO QUALYS_ROLE: 

GRANT SELECT ON USER_TAB_COLUMNS TO QUALYS_ROLE: 

GRANT SELECT ON GV_$DATABASE TO QUALYS_ROLE: 

GRANT SELECT ON DBA_TS_QUOTAS TO QUALYS_ROLE: 

GRANT SELECT ON SYS.REGISTRY$HISTORY TO QUALYS_ROLE: 

GRANT SELECT ON DBA_REGISTRY_SQLPATCH TO QUALYS_ROLE: <-- 12c の み に 該 当 
GRANT SELECT ON GV _$VERSION TO QUALYS_ROLE: 

GRANT SELECT ON DBA_PROCEDURES TO QUALYS_ROLE: 

GRANT SELECT ON GV_$INSTANCE TO QUALYS_ROLE: 


Qualys 認証 スキ ャ ン 


6) ス キャ ン ア カウ ント の 権限 の 確認 


「QG_Oracle_Vuln verX.X.txt」 フ ァイル (ダウ ン ロ ー ド アー カイ ブ に 含ま れる ) の スク リプ ト を 使用 する 
と 、 ス キャ ン に 使用 する ユー ザ ア カ ウ ント か ら 抜 け て いる 権限 を 確認 で きま す 。 この スク リプ ト は 、 適 切 
な 権限 が すべ て 正しく 設定 され て いる か どう か を 確認 する た め の も の で 、 デ ー タ ベー ス の スー パー ユー 
ザ が 実行 し な けれ ば な り ま せん 。 こ の スク リプ ト に より 、 す べ て の 必須 項目 の 状態 を 表示 する 出力 が 生 
成 さ れ ま す ( 下 記 の 出力 例 を 参照 ) 。 


出力 例 

必須 項目 状態 

SYS <--- 現 在 ロ グ オ ン し て いる ユー ザ 
CREATE SESSION ROLE PASSED - CREATE SESSION が 存在 
DBA_PROFILES PASSED - SELECT 権限 が 存在 
DBA_ TS_QUOTAS PASSED - SELECT 権限 が 存在 
DBA_USERS PASSED - SELECT 権限 が 存在 
SYS.REGISTRY$HISTORY PASSED - SELECT 権限 が 存在 
USER_TAB COLUMNS PASSED - SELECT 権限 が 存在 
GV_$DATABASE PASSED - SELECT 権限 が 存在 
GV_$PARAMETER PASSED - SELECT 権限 が 存在 
GV_$VERSION PASSED - SELECT 権限 が 存在 
QUALYS_SCAN PASSED - アカ ウン ト が 存在 
QUALYS PROFILE PASSED - プロ ファ イル が 存在 
QUALYS ROLE PASSED - ロー ル が 存在 
QUALYS_ROLE PASSED - ロー ル が ユー ザ に 付与 


抜け て いる 権限 が ある 場合 、「ORA-00942: table or view does not exist」 と いう エラ ー メ ッ セ ー ジ が 
表示 され ます 。 


最終 更新 日 : 2017 年 8 月 23 日 


Qualys 認証 スキ ャ ン 3 


